Лжеантивирус-хамелеон

Эксперты BitDefender обнаружили в сети Facebook неординарного троянца, который умело использует идентификаторы и контакты жертвы для самораспространения, блокирует средства защиты и удаляет штатный антивирус на зараженной машине, заменяя его бесполезной имитацией, а также загружает дополнительные модули и поддерживает связь с другими участниками зловредной р2р-сети.

Зловред перехватывает сеанс связи жертвы с другим участником социальной сети, вставляя в чат-диалог провокационное сообщение со ссылкой на некий видеоролик, главным героем которого якобы является объект атаки. Ссылка ведет на поддельную страницу YouTube с соответствующим именем в заголовке (корректно скопированным из профиля) и нелицеприятными комментариями друзей (их имена позаимствованы из списка контактов). При попытке запустить «видеоролик» пользователю предлагается установить новую версию Flash Player, воспользовавшись ссылкой. При ее активации на ПК жертвы вместо «плеера» загружается троянец.

Вредоносная программа добавляет себя к списку разрешенных приложений в брандмауэре или просто его отключает. Она блокирует также все сообщения брандмауэра, системы обновления Windows и антивируса. Одним из компонентов троянца является новаторский лжеантивирус, который умеет детально воспроизводить интерфейс 16-ти популярных защитных решений. Для создания убедительной имитации ему лишь надо определить, которое из них установлено на машине жертвы и какой язык выставлен в персональных настройках. Вооружившись нужными данными, зловред деинсталлирует штатный антивирус, который отныне будет заменять реплика, начисто лишенная защитного функционала.

Другой компонент троянца, даунлоудер, загружает на зараженную машину файл со списками IP-адресов. URL сайта, с которого производится загрузка, зависит от типа операционной системы, установленной на компьютере жертвы. Другой список IP-адресов, которым оперирует троянец, жестко прописан в коде. Эти списки регулярно обновляются и нужны для осуществления полноценного обмена между участниками бот-сети, установки дополнительных модулей и обновлений, а также для продолжения троянской экспансии в социальной сети.